Microsoft emitió el martes correcciones para 56 fallas, incluida una vulnerabilidad crítica que se sabe que se explota activamente en la naturaleza.

En total, 11 se enumeran como Críticos, 43 se enumeran como Importantes y dos se enumeran como Moderados en gravedad, seis de los cuales son vulnerabilidades previamente reveladas.

Las actualizaciones cubren .NET Framework, Azure IoT, Microsoft Dynamics, Microsoft Edge para Android, Microsoft Exchange Server, Microsoft Office, Microsoft Windows Codecs Library, Skype for Business, Visual Studio, Windows Defender y otros componentes principales como Kernel, TCP/ IP, cola de impresión y llamada a procedimiento remoto (RPC).

Una vulnerabilidad de escalada de privilegios de Windows Win32k

La falla más crítica es una vulnerabilidad de escalada de privilegios de Windows Win32k (CVE-2021-1732, puntuación CVSS 7.8) que permite a los atacantes con acceso a un sistema de destino ejecutar código malicioso con permisos elevados. Microsoft acreditó a JinQuan, MaDongZe, TuXiaoYi y LiHao de DBAPPSecurity por descubrir y reportar la vulnerabilidad.

En un artículo técnico separado, los investigadores dijeron que se detectó un exploit de día cero que aprovechó la falla en un «número muy limitado de ataques» contra víctimas ubicadas en China por parte de un actor de amenazas llamado Bitter APT. Los ataques fueron descubiertos en diciembre de 2020.

«Este día cero es una nueva vulnerabilidad causada por la devolución de llamada de win32k, podría usarse para escapar de la caja de arena de Microsoft [Internet Explorer] navegador o Adobe Reader en la última versión de Windows 10 «, dijeron los investigadores de DBAPPPSecurity. La vulnerabilidad es de alta calidad y el exploit es sofisticado «.

Vale la pena señalar que Adobe, como parte de su parche de febrero, abordó una falla crítica de desbordamiento de búfer en Adobe Acrobat y Reader para Windows y macOS (CVE-2021-21017) que, según dijo, podría conducir a la ejecución de código arbitrario en el contexto de la actual usuario.

La compañía también advirtió sobre intentos de explotación activa contra el error en la naturaleza en ataques limitados dirigidos a usuarios de Adobe Reader en Windows, reflejando los hallazgos antes mencionados de DBAPPSecurity.

Si bien ni Microsoft ni Adobe han brindado detalles adicionales, el parcheo simultáneo de las dos fallas plantea la posibilidad de que las vulnerabilidades estén encadenadas para llevar a cabo los ataques en estado salvaje.

Entra en vigor el modo de cumplimiento de Netlogon

La actualización del martes de parches de Microsoft también resuelve una serie de fallas de ejecución remota de código (RCE) en Windows DNS Server (CVE-2021-24078), .NET Core y Visual Studio (CVE-2021-26701), Biblioteca de códecs de Microsoft Windows (CVE- 2021-24081), y Servicio de Fax (CVE-2021-1722 y CVE-2021-24077).

El RCE en el componente del servidor DNS de Windows tiene una clasificación de gravedad de 9,8, lo que lo convierte en una vulnerabilidad crítica que, si no se corrige, podría permitir que un adversario no autorizado ejecute código arbitrario y redirija potencialmente el tráfico legítimo a servidores maliciosos.

Microsoft también se está tomando este mes para impulsar la segunda ronda de correcciones para la falla Zerologon (CVE-2020-1472) que se resolvió originalmente en agosto de 2020, luego de lo cual informes de explotación activa La orientación a sistemas sin parches surgió en septiembre de 2020.

A partir del 9 de febrero, el «modo de aplicación» del controlador de dominio estará habilitado de forma predeterminada, bloqueando así «vulnerable [Netlogon] conexiones desde dispositivos no compatibles».

Además, la actualización del martes de parches corrige dos errores de divulgación de información: uno en el navegador Edge para Android (CVE-2021-24100) que podría haber revelado información de identificación personal e información de pago de un usuario, y el otro en Microsoft Teams para iOS (CVE -2021-24114) que podría haber expuesto el valor del token de Skype en la URL de vista previa de las imágenes de la aplicación.

Fallas de RCE en Windows TCP/IP Stack

Por último, el fabricante de Windows lanzó un conjunto de correcciones que afectan su implementación de TCP/IP, que consta de dos fallas RCE (CVE-2021-24074 y CVE-2021-24094) y una vulnerabilidad de denegación de servicio (CVE-2021-24086) – que dijo que podría ser explotado con un ataque DoS.

«Los exploits DoS para estos CVE permitirían que un atacante remoto provoque un error de detención», dijo Microsoft en un aviso. «Los clientes pueden recibir una pantalla azul en cualquier sistema de Windows que esté directamente expuesto a Internet con un tráfico de red mínimo. Por lo tanto, recomendamos a los clientes que se muevan rápidamente para aplicar las actualizaciones de seguridad de Windows este mes».

Sin embargo, el gigante tecnológico señaló que la complejidad de las dos fallas de TCP/IP RCE dificultaría el desarrollo de exploits funcionales. Pero espera que los atacantes creen vulnerabilidades DoS mucho más fácilmente, convirtiendo la debilidad de seguridad en un candidato ideal para la explotación en la naturaleza.

Para instalar las últimas actualizaciones de seguridad, los usuarios de Windows pueden dirigirse a Inicio> Configuración> Actualización y seguridad> Actualización de Windows o seleccionando Buscar actualizaciones de Windows.